校园网网络规划方案

北部新区天宫殿学校校园网建设

实 施 方 案

目 录

设计要求 .................................................... 1 一、用户需求分析 ............................................ 2 二、网络拓扑设计及原则 ...................................... 4

（一）拓扑设计 ................................................................................................................... 4 （二）设计原则 ................................................................................................................... 4

三、网络方案设计 ............................................ 7

（一）网络结构分析 ............................................................................................................ 7

(1．)骨干层 ..................................................................................................................................... 7 (2．)接入层 ..................................................................................................................................... 8 (3．)出口 ........................................................................................................................................ 9 （二）网络架构设计 ............................................................................................................ 9 （三）扩展的考虑 .............................................................................................................. 10 （四）网络VLAN的设计 ..................................................................................................... 10 （五）网络QoS设计 .......................................................................................................... 12 （六）网络安全设计 .......................................................................................................... 14 （七）服务器 ..................................................................................................................... 17

四、设备选型 ................................................ 17

（一）路由器的选择 .......................................................................................................... 17 （二）交换机的选择 .......................................................................................................... 19 （三）防火墙 ..................................................................................................................... 23 （四）服务器 ..................................................................................................................... 24

附表 .......................................... 错误！未定义书签。

前 言

当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。

快速、高效的传播和利用信息资源是现社会的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。

Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。

随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低

也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。

学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。

设计要求

（1）采用1000M做骨干，100M到桌面。

（2）校园网内具有WWW服务器FTP服务器DNS服务器VOD点播服务器办公OA服务器设有基于SAN架构的磁盘阵列用于数据存储用于提供一些培训中常用的资料下载，网络管理等。

（3）学校采用基于SQL server2000 数据库做开发平台。 （4）校园网采用路由器+防火墙结构进行接入，网络互联设备(交换机路由器线缆及其他设置)。

（5）所有实验室各自划分VLAN，各系办公室各自划分VLAN，行政办公室为一个VLAN，教室为一个VLAN，服务器组为一个VLAN。

（6）做好路由器与防火墙之间的安全通信工作，防止搭线窃听，IP盗用。

（7）交换机的要求：所有的交换机均屏蔽echo协议，屏蔽1351361371381393894454444常用端口，屏蔽TFTP协议。

（8）所有实验室各自划分VLAN之间不能互访，不能访问其他区域，只能上网。

（9）各系办公室自划分VLAN之间不能互访，不能访问行政办公VLAN，能上网，可以访问教室的VLAN。

（10）网络中心与教学部用光纤连接。

（11）选择客户机ＴＣＰ／ＩＰ配置的最佳方案，以最大限度的减少ＩＰ地址的冲突和管理员的工作量，采用192.168.0.0的内

1

部IP地址分配。

一、用户需求分析

在校园网络中，视频音频数据集于一身，如果保证不了高带宽又多种视频音频数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务数据备份服务文献传递服务E-mail服务数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。

在网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。

在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节

2

省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要具备高背板带宽（交换容量），所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。

现在的网络环境中稳定可靠是争相谈论的话题，因现在在网络中运行了众多重要应用及服务，是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中，也要保证较小的延迟，以满足网络应用中的有效畅通的需要。在这样的需求中利用，冗余的管理交换引擎冗余的电源等关键部件的冗余，支持（802.1D802.1W）802.1S多Vlan生成树协议保证链路级的冗余和负载均衡，支持VRRPOSPF等三层路由协议保证路由级的冗余，支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备网络应用系统的可靠性。

在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效快捷地处理事故，采用上网审计手

3

段是十分有必要的。由于当前类似“冲击波震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。

二、网络拓扑设计及原则

（一）拓扑设计

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。 （二）设计原则

校园网络系统的建设在实用的前提下，应当在投资保护及长远

4

性方面做适当考虑，在技术上系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准开放可扩充的能与其它厂商产品配套使用的设计。

根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能高可靠性高稳定性高安全性易管理的万兆骨干网络平台。

我们遵循以下的原则进行网络设计： （1.）实用性和经济性

网络建设应始终贯彻面向应用，注重实效的方针，坚持实用经济的原则，建设的万兆骨干网络平台，保护用户的投资。 （2.）先进性和成熟性

网络建设设计既要采用先进的概念技术和方法，又要注意结构设备工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。 （3.）可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构技术措施设备性能系统管理厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

为了保证骨干网络平台的健壮性和链路冗余性，建议网络实

5

施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。 （4.）安全性和保密性

在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离路由过滤防DDoS拒绝服务攻击防IP扫描系统安全机制多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLANIP/MAC地址绑定（过滤）ACL路由过滤防DDoS拒绝服务攻击防IP扫描802.1x认证机制SSH加密连接等具体技术提升整个网络的安全性。

（5.）可扩展性和可管理性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。

为了适应网络结构变化的要求，必须充分考虑以最简便的方法最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。

先进的设备必须配合先进的管理和维护方法，才能够发挥最大

6

的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性可管理性，同时又具有很好的可扩充性。 三、网络方案设计 （一）网络结构分析

（1.）骨干层

网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎电源风扇。

由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。

综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机建议采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。

7

RG-S68100E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。

RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。

RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由IPV6等协议，并可扩展支持MPL Sload balancing NATVPN Firewall IDS web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。

在此方案中，校区网络中心采用RG-S6810E多业务万兆核心路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。

（2.）接入层

接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

8

楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量丰富的安全设置和基于策略的网管，最大化满足高速融合安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。 （3.）出口

因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用：防火墙提供强有力的服务器内网安全保护提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。 （二）网络架构设计

基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在两栋实训楼采用万兆的三层汇聚设备，实训楼6506千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面；

为了以后扩展的需要，所以采用RG-WALL 1000防火墙，并将校内的对外服务器与防火墙的DMZ区相连，保证良好的安全性；同时双核心时做VRRP，防火墙双百兆连接核心，单百兆连接Internet；

出于管理和安全方面角度考虑，在全网可采用IP+MAC绑定方式，全网分布式采用ACL，并按照部门划分VLAN，划分相应的权

9

限，保证学生机房用机对教学办公网没有访问权限，只能访问校内服务器及外网；IP分配：在办公区采用静态IP划分，在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。

按照核心的架构，才用单引擎单核心，采用单核心单引擎，核心和引擎之间做冗余备份。实训楼的汇聚设备可采用双链路连接核心设备，作链路的冗余备份，如果其中任何一条链路出现故障，所有数据会切换到另外的链路上，保证校园网的畅通。 （三）扩展的考虑

备份线路带宽扩展：在未来升级考虑中，可将核心与汇聚间千兆备份线路带宽升级至10G带宽，以提高备份线路的连接带宽。

综合楼楼交换机可扩充为96个千兆口，拥有很强的接入扩展功能。

（四）网络VLAN的设计

在校园网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点： ? VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。

? VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。

10

要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。

? 网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。 ? 提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。

? VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。

根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：

1方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。

11

2易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。

3 VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号以太网类型MAC地址IP地址TCP/UDP端口号时间灵活组合限定的硬件ACL）来进行访问权限设定，保障重要资料不被非法访问。 （五）网络QoS设计

为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS设计(提供端到端QoS服务)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS的能力影响着全网的服务质量保障能力。

锐捷各款交换机都支持丰富的QoS功能，能确保重要业务量不受延迟或丢弃，同时又充分利用现有的带宽以保证网络的高效运行。

例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信，为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览，可以作为低优先级对待，或者“尽力而为”地进

12

行处理。

如图所示：QoS工作原理

在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS，要求资源中心核心交换机分中心交换机和接入交换机均支持第三层的QoS标注方案，而二层的802.1P标记对于骨干网络这样的网络并没有实际意义，因为802.1P的标记不能在交换机之间传递，只能在本机上有用。

锐捷网络的RG-S6810E多业务万兆核心路由交换机支持基于基于DiffServ标准为核心的QoS保障系统，支持IP TOSSPWRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑，另外提供灵活的端口队列管理机制，端口多级拥塞设置;具备MAC流IP流应用流时间流等多层流分类和流控制能力，实现带宽控制转发优先级等多种流策略，支持网络根据不同的应用以及不同应用所需要

13

的服务质量特性，提供服务。

通过从核心到接入设备全程对QoS的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的QoS保障，确保真正的端到端的QoS的实现。 （六）网络安全设计

构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

（1.）接入安全

RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能高带宽的同时，提供智能的流分类完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全网络合理化使用和运营。

（2.）访问安全

锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL，可以基于MACIPTCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

14

ACLs的全称为接入控制列表(Access Control Lists)，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。

锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs：

? IP ACLs用于过滤IP报文，包括TCP和UDP。

（1）Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的条件

（2）Extended IP access lists(扩展IP接入控制列表)使用源IP地址目的IP地址及可选的协议类型信息作为匹配的条件

? Ethernet ACLs用于过滤二层数据流：

（1）MAC Extended access lists(MAC扩展控制列表)使用源MAC地址目的MAC地址及可选的以太网类型作为匹配的条件

? Expert ACLS用于过滤二层和三层二层和四层二层和三层四层数据流：

Expert Extended access lists(专家扩展控制列表)使用源MAC地址目的MAC地址以太网类型源IP目的IP及可选的协议类型信息作为匹配的条件。

对于不同访问权限的区域采用ACL访问控制来对不同访问资

15

源进行权限控制。

应用ACL可以有效的防范“冲击波”等蠕虫病毒；支持802.1X技术，满足6元素绑定接入限制；支持IGMP源端口检查及源IP检查，可有效控制非法组播源，提高网络安全；IGMP V3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽；

通过PVLAN（保护端口）隔离用户之间信息互通，不必占用VLAN资源；提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁；

Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理；

SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID）；确保数据在传输过程中不被篡改（采用MD5和SHA认证协议）；加密报文，确保数据的机密性（采用DES56加密协议）。

（3.）病毒防御

锐捷网络设备，能够提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：1）预防PC感染类似“冲击波震荡波”的病毒；2）如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒的传播。3）支持防止DDoS攻击，防止IP段恶意扫描等抗攻击特性。

16

（七）服务器

根据校园网的实际需求：数据计算量大；实现多种服务如：WEB服务，OA应用平台，FTP服务，防病毒等等。应用服务器和数据库分离，防止应用服务器被攻击后，影响数据库安全。

服务器主要用于帮助学校对校务学籍人事政教等方面进行管理，实现学校的办公自动化，各系统之间实现充分的资源共享，提高办公及管理效率。还可以提供资料库管理，所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生学生家长提供尽可能多的信息。信息服务不仅是提供E－

mailFTPTelnetWWW等简单服务，还应包括如教学资料教学课件图书馆图书资料的远程查询，远程视频点播远程电子阅览室教育论坛网上教学以及学生的网上交流网上聊天等。对于这些网络服务，可以根据各部门需求，选择或组织编写一些应用系统软件。 四、设备选型 （一）路由器的选择

锐捷RSR-08路由器是高性能通用的骨干汇聚路由器，具有高背板带宽高包转发率结构紧凑端口密度高等特点，并能提供全范围的光纤和铜缆接口。RSR-08路由器具有强大的业务能力，可以满足目前所有的城域汇聚和接入需求，提供多协议标准交换 (MPLS)第2或3层隧道技术动态带宽控制和面向连接的数据收集体系。作为多协议标记（MPLS）PE路由器，他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。通过使用VPLS，可

17

以利用原有网络和以太网基础设施提供VOIP互联网接入视频以及多点虚拟专用网（VPN）等融合业务。

锐捷RSR-08路由器支持包括TDMPOSATM和千兆位以太网，速率高达OC- 48。部署在各种应用中，RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的高性能功能强大的服务, 并提供高可用性网络所需的冗余支持。

设备性能 交换容量 包处理能力 ACL 路由表 流表 MTBF 协议支持 路由协议 组播协议 地址管理 MPLS 特色支持 管理方式 物理指标 尺寸 重量 环境规格 操作温度 存储温度 相对操作湿度 相对存储湿度 电源规格 交流电源 输入电压： 100到240 VAC 输入电流： 12 ～ 6A 频率： 50到60Hz 输入电压： -48到-60 VDC 18

32G 16.7MPPS 2万条 25万条 最多可达2,000,000个第4层应用数据流 最多可达3,500,000个第2层MAC地址 >200,000小时（预测） OSPFIS-ISBGPRIPv2静态路由 IGMPPIM-DM/SMDVMRPRP 静态DHCP中继 MPLS LSR和LER支持 2547-bis MPLS L3 VPN Martini MPLS L2 VLL MPLS 透明局域网业务 TLS MPLS 快速重路由 NATLoad balancing VSRP Web cache redirection策略路由HPS 线速全组 RMON/RMON2 简单网络管理协议（SNMP）管理 SSHRADIUSTACACS＋RS-232命令行接口（CLI） 高8.75英寸×宽17.25英寸×深12.25英寸 （22.23厘米×43.82厘米×31.12厘米） 44.5磅（20.2公斤） +0°C到+40°（32o到104oF） -40°C到+70°C(-40o到158oF) 10%到90%（非冷凝） 5%到95%（非冷凝） 直流电源

输入电流： 27A 标准和规范 安全性 电磁兼容性 ETSI NEBS UL60950CAN/CSA-C22.2 No. 60950EN60950IEC95072/73/EEC FCC Part 15CSA C108.8EN55022VCCIEN5502489/336/EEC ETSI EN 300-386EN 300-109ETS 300-753 NEBS Level 3GR-1089GR-63 （二）交换机的选择

RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。

RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达

857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。

RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由IPV6等协议，并可扩展支持MPL Sloadba lancing NATVPN Firewall IDS web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。

技术参数 技术参数 模块插槽 背板 交换容量 RG-S6810E 10个（2个用于管理引擎模块） 1.6T（可扩展3.2T） 2.4T（可扩展4.8T）（V3.x） 800G 19

RG-S6806E 6个（2个用于管理引擎模块） 800G（可扩展1.6T） 1.2T（可扩展2.4T）（V3.x） 400G

1.2T（V3.x引擎） 包转发速率 路由表项 802.1q VLAN L2协议 L2/L3：572Mpps L2/L3：857Mpps（V3.x引擎） 256K 4K 600G（V3.x引擎） L2/L3：286Mpps L2/L3：428M（V3.x引擎） IEEE802.3IEEE802.3uIEEE802.3z IEEE802.3abIEEE802.3aeIEEE802.3akIEEE802.3xIEEE802.3adIEEE802.1pIEEE802.1x IEEE802.1QIEEEE802.1dIEEEE802.1WIEEEE802.1S Port MirrorIgmp Snooping Jumbo Frame(9Kbytes)QinQGVRP BGP4IS-ISOSPFRIPV1RIPV2IGMP v1/v2/v3 DVMRP PIM-SSM/SM/DMLPM RoutingPolicy-based RoutingECMPWCMPVRRP L3协议 病毒攻击防护 全面的ACL（基于以太网类型协议VLANMACIPTCP/UDP端口号时间等）防源IP地址欺骗防DOS/DDOS攻击，防IP扫描 管理方式 其它协议 尺寸（长x宽x高） 电源 MTBF 温度 湿度 SNMP v1/v2/v3TelnetConsoleWEBRMONSSH SNTPDHCP ClientDHCP RelayDNS ClientARP ProxyRadiusIPV6MPLSLoad BalancingEAPSNATVPNFirewallIDSWeb Cache RedirectSyslog 448 mm x 437mm x 956mm 508mm x 437 mm x 647mm 100VAC~240VAC，50Hz~60Hz，功率:1200W > 200,000 hours 工作温度： 0℃ 到 40℃ 存储温度：-40℃ 到 70℃ 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 95% RH RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”

RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。

技术参数

20

背板构架 模块插槽 背板 交换容量 包转发速率 MAC地址 L2协议 分布式CROSSBAR 6个（2个用于管理引擎模块） 192G 768G（V3.x） 192G 576G（第二代管理引擎） L2/L3：143Mpps L2/L3：286Mpps（第二代管理引擎） 64K IEEE802.3IEEE802.3uIEEE802.3z IEEE802.3abIEEE802.3aeIEEE802.3akIEEE802.3xIEEE802.3adIEEE802.1pIEEE802.1x IEEE802.1QIEEEE802.1dIEEEE802.1WIEEEE802.1S Port MirrorIgmp Snooping Jumbo Frame(9Kbytes)QinQGVRP 802.1q VLAN 4K L3协议 Ipv6协议 OSPFRIPV1RIPV2IGMP v1/v2/v3BGP4DVMRP PIM-SSM/SM/DMLPM RoutingECMPWCMPVRRP 静态路由等价路由策略路由ICMPv6ICMPv6重定向DHCPv6ACLv6MLDv1/v2PIM-SMv6PIM-DMv6PIM-SSMv6OSPFV3RIPng手工隧道ISATAP6to4隧道 病毒攻击防护 管理方式 其它协议 尺寸（长x宽x高） 电源 MTBF 温度 湿度 全面的ACL（基于以太网类型协议VLANMACIPTCP/UDP端口号时间等）防源IP地址欺骗（Souce IP Spoofing）防DOS攻击（Synflood，Smurf），防扫描（PingSweep) SNMP v1/v2/v3TelnetConsoleWEBRMON SNTPEAPSDHCP ClientDHCP RelayDNS ClientARP ProxyRadiusSyslog 440 mm x 540 mm x 559mm 100VAC~240VAC，50Hz~60Hz，功率:600W > 200,000 hours 工作温度： 0℃ 到 40℃ 存储温度：-40℃ 到 70℃ 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 95% RH RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能高带宽的同时，提供智能的流分类完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全网络合理化使用和运营。

21

RG-S2924G特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。RG-S2924G为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMPTelnetWeb和Console口等。RG-S2924G以极高的性价比为各类型网络提供完善的端到端的 QoS服务质量灵活丰富的安全策略管理和基于策略的网管，最大化满足高速高效安全智能的企业网新需求。

支持生成树协议802.1D802.1w802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。

技术参数 技术参数 产品型号 固定端口 可用SFP 模块 RG-S2924G 24个10/100/1000M电口，4个复用的SFP千兆光纤接口 Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）； Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）； Mini-GBIC-LH：单口1000BASE-LX mini GBIC转换模块（LC接口），40Km； Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km； Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km 48Gbps 36Mpps 16K 4K 支持多种硬件ACL： 标准IP ACL（基于IP地址的硬件ACL） 扩展IP ACL（基于IP地址传输层端口号的硬件ACL） MAC扩展ACL（基于源MAC地址目的MAC地址和可选的以太网类型的硬件ACL） 基于时间ACL 专家级ACL（可同时基于VLAN号以太网类型MAC地址IP地址TCP/UDP端口号协议类型时间灵活组合的硬件ACL) 22

端口交换容量 包转发速率 MAC 802.1q VLAN IPv4 ACL

IPv6 ACL & QoS 支持硬件IPv6 ACL： 支持源/目的IPv6地址源/目的端口IPv6报文头的流量类型（Traffic class）时间选项的硬件IPv6 ACL 和IPv6 QoS IEEE802.3IEEE802.3uIEEE802.3zIEEE802.3abIEEE802.3aeIEEE802.3akIEEE802.3xIEEE802.3adIEEE802.1pIEEE802.1Q(GVRP)IEEEE802.1dIEEE802.1wIEEE802.1sIEEE802.1xIGMP Snooping v1/v2/v3LLDP SNMPv1/v2C/v3Web(JAVA)CLI(Telnet/Console)RMON(1,2,3,9)SSHSyslogNTPSNTP DHCP Relay 支持 440mm×260 mm×44mm 160VAC~240VAC，50Hz~60Hz 工作温度： 0℃ 到 40℃ 存储温度：-40oC 到 70oC 工作湿度： 10% 到 90% RH 存储湿度： 5% 到 90% RH L2协议 管理协议 其它协议 Jumbo Frame 尺寸（长× 宽× 高） 电源 温度 湿度 （三）防火墙

为了以后扩展的需要，所以采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。

采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收分类转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能

23

防范入侵及其它（如URL过滤HTTP透明代理SMTP代理分离DNSNAT功能和审计/报告等）附加功能。

技术参数 RG-WALL 1000千兆防火墙/VPN网关 端 口 最大并发连接数 吞吐量 （最大）策略数 VPN并发通道数 VPN吞吐量 (SHA-1, 3-DES) 尺 寸 电气性能 工作环境 技术性能 固化2个10/100BaseT+2个10/100/1000BaseT接口，可选配最多4个千兆电口/千兆SX/LX光口 1,000,000sessions 1.8Gbps 65,535 10,000tunnels 400Mbps 标准19英寸宽度，2U高度 电源类型：AC 100-240V/50-60Hz 电源功率：200W 操作环境：温度0℃~40℃，湿度0%~80% 存储环境：温度-40℃~80℃，湿度0%~ 95% MTBF（平均故障间隔时间）：≥100,000小时 （四）服务器

天阔I650(r)-E服务器是曙光天阔服务器系列产品中，面向行业市场中等网络规模用户开发的一款部门级服务器产品。此款服务器支持双路Intel Xeon64bit处理器，主频可达3.6GHz 以上，系统前端总线频率为800MHz，系统内存由原来I650(r)-N的DDR配置升级为DDRII配置，最大支持16GB DDRII400内存，为用户带来“海量处理”的应用体验。

天阔I650(r)-E服务器以处理能力可用性及可管理性等方面的强大优势，为电信ISP/ICP/ASP 等行业用户提供了一款系统性能可用性最佳的部门级服务器精品。天阔I650(r)-E 服务器完全兼容Windows2000/2003RedHatLinuxSUNSolarisSCOOpenserver/UnixwareNovell Netware等多种操作系统平台，用户可以根据自己的

24

需求在各种平台上构筑自己的网络及应用。

天阔I650(r)-E 服务器提供了塔式天阔I650-E 服务器及机架式天阔I650r-E服务器两种机型，灵活满足不同用户环境下对部门级服务器的应用需求。

设备类型 CPU类型 CPU频率 二级缓存 目前CPU数 最大CPU数 内存类型 标准内存容量 最大内存容量 主板芯片组 PCI插槽类型/数量 部门级服务器 Intel Xeon DP 3000MHz 1024KB 1 2 DDRII400 ECC Registered 1024MB 16000MB Intel E7520+6300ESB+6700PXH 1×64bit 133MHzPCI-X；2×64bit 100MHzPCI-X；2×PCI-Express x8；1×32bit 33MHz PCI 2×串口（其中一个需从主板引出）；1×并口；1×VGA接口；2×USB2.0接口（后置）；2×USB2.0接口（前置）；2×RJ45网口；1×键盘接口；1×鼠标接口 SCSI 集成双通道Ultra320 SCSI控制器，支持HOST RAID，级别RAID010＋1，支持ZCR（2010s） Ultra ATA 100*2 支持 73*2GB 52X CD-ROM，1×3.5英寸标准软驱 ATI Radeon 7000 16MB 支持 集成两个千兆网卡（RJ45接口） 每处理器独立散热风扇；机箱中部2个系统风扇；机箱后部1个系统风扇 220*425*680mm 25

主板I/O接口 硬盘类型 SCSI控制器类型/数量 IDE控制器类型/数量 是否支持热插拔硬盘 硬盘标配容量 外部驱动器架数 显示卡 显卡显存 是否支持磁盘阵列 网卡型号 系统风扇 机箱尺寸

电源功率 电源数量最大/标配 支持操作系统 随机软件 550W 单电源 UNIX||LINUX||Windows NT||Windows2000 《曙光天阔服务器导航软件》（1CD）；《中文LINUX操作系统》（1套）；《NT资源手册》（一套3本）； 随机CD中含有《曙光天阔I110S用户手册》 26

（二）防火墙 路由器 服务器 服务器 服务器名 WWW FTP DNS VOD OA 数据库 财务数据 IP 段 192.168.99.1/24 192.168.99.2/24 192.168.99.3/24 192.168.99.4/24 192.168.99.5/24 192.168.99.6/24 192.168.100.0/24 映射IP 221.212.138.163/28 221.212.138.164/28 221.212.138.165/28 221.212.138.166/28 221.212.138.167/28 221.212.138.168/28 VLAN ID 99 99 99 99 99 99 100 接口 F0 F1 F2 F3 管理IP user pass 防火墙(RG-WALL1000) IP 地址 连接的设备 172.16.1.2/30 172.16.1.5/30 192.168.101.100 192.168.101.101 RSR-08 RG-S6810E 接口 S1/1 F1/1 接口 F0 F1 路由器(RSR-08) IP 地址 221.212.138.162/28 172.16.1.1/30 防火墙(财务) IP 地址 172.16.1.10/30 172.16.1.13/30 连接的设备 INTERNET RG-WALL1000 连接的设备 RG-S6810E 财务 27

（三）多层交换机 端口连接设备 设备型号RG-S6810E 设备名称 接口号 g.5/1 g.5/2 g.5/3 g.5/4 g.5/5 g.5/6 g.5/7 g.5/8 g.5/9 g.5/10 g.5/11 g.5/12 g.5/13 g.5/14 g.5/15 g.5/16 设备管理段 RG-S6506 RG-S6506 RG-WALL1000 WWW 服务器 FTP 服务器 DNS 服务器 VOD 服务器 OA 服务器 SQL 服务器 防火墙(财务) RG-S2924G(一楼) RG-S2924G(二楼) RG-S2924G(三楼) RG-S2924G(四楼) RG-S2924G(五楼) RG-S2924G(备用) g.5/1 g.5/2 F1 F0 F1/1 F1/1 F1/1 F1/1 F1/1 F1/1 IP 172.16.1.1/30 192.168.99.1/24 192.168.99.2/24 192.168.99.3/24 192.168.99.4/24 192.168.99.5/24 192.168.99.6/24 172.16.1.9/30 192.168.101.0/24 VLAN ID TRUNK TRUNK VLAN 99 VLAN 99 VLAN 99 VLAN 99 VLAN 99 VLAN 99 TRUNK TRUNK TRUNK TRUNK TRUNK TRUNK 设备型号RG-S6506 g.5/1 g.5/2 g.5/3 g.5/4 g.5/5 g.5/6 g.5/7 g.5/8 设备管理段 端口连接设备 设备名称 接口号 RG-S6810E RG-S6810E RG-S2924G(一楼) RG-S2924G(二楼) RG-S2924G(三楼) RG-S2924G(四楼) RG-S2924G(五楼) RG-S2924G(六楼) g.5/1 g.5/2 F1/1 F1/1 F1/1 F1/1 F1/1 F1/1 描述 TRUNK TRUNK TRUNK TRUNK TRUNK TRUNK TRUNK TRUNK 192.168.101.0/24 28

29

本文来源：https://www.bwwdw.com/article/oaer.html